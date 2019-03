Sur internet, on trouve aujourd’hui les logins et mots de passe de 11'500 comptes utilisateurs appartenant à 2200 collaborateurs et ex-collaborateurs des banques cantonales suisses. Ces informations incluent les données d’accès pour des sites de rencontres tels que Badoo et Zoosk, ou pour des plateformes de paris comme easybet.com ou vip­roomcasino.net. C’est ce que montre notre analyse des comptes d’utilisateurs piratés dont les détails ont fuité sur internet.

Des employés de grandes banques cantonales, dont la Banque Cantonale de Zurich, la BCV et la BCGE notamment, sont parmi les plus touchés. L’ensemble du personnel des banques cantonales est concerné, des conseillers à la clientèle juniors aux membres de la direction.

Certains identifiants et mots de passe de banquiers se retrouvent sur les forums publics de hackers, où n’importe qui peut facilement les utiliser. D’autres sont accessibles sur des forums fermés. Depuis deux ans, la société de sécurité zurichoise Kaduu recueille et complète systématiquement ces données.

Usages privés et professionnels

Pour l’analyse, les collaborateurs des 24 banques cantonales suisses ont d’abord été recherchés à l’aide des noms de domaine – par exemple «@bcv.ch» dans le cas de la Banque Cantonale Vaudoise. Les résultats ont ensuite été comparés au service web haveibeenpwned.com, qui permet de savoir si une identité a été piratée. Cela permet notamment d’éliminer les doublons.

La question qui se pose est évidemment celle de la distinction entre communication privée et professionnelle sur internet. On trouve ainsi 472 employés présents et passés de la Banque Cantonale Vaudoise qui possèdent un compte privé ouvert avec l’adresse e-mail de leur employeur, «@bcv.ch», et dont le nom d’utilisateur et parfois le mot de passe apparaissent dans les données qui ont fuité sur internet.

La Banque Cantonale Vaudoise a examiné ces données en détail: «À aucun moment, la sécurité informatique de la banque n’a été compromise.» Selon elle, 70 des comptes mentionnés sont de fausses adresses électroniques qui n’ont jamais appartenu à aucun employé de la banque. Environ la moitié des adresses restantes sont périmées et appartiennent à des gens qui ne travaillent plus pour la BCV. «Plus de 50% des adresses restantes correspondent à une présence sur le site LinkedIn, site dont la fréquentation est admise, voire encouragée, par la banque», nuance encore la BCV.

L’institution affirme en outre que «la BCV accorde une grande attention à la lutte contre les cyberrisques de toutes sortes, y compris le problème des listes d’adresses e-mail volées ou divulguées».

Les banques cantonales de Genève et de Neuchâtel présentent un taux d’employés dont les adresses électroniques et les logins ont été piratés tout aussi élevé que celle du canton de Vaud. Le collaborateur de banque cantonale ayant le plus grand nombre de comptes figurant dans les fuites se trouve à Genève et supervise les transactions financières de grosses entreprises. Il a un total de 61 comptes internet privés piratés et, comme le montre une brève recherche sur le web, il travaille toujours pour la BCGE.

«Aucun dommage»

Par voie de communiqué de presse, cette dernière a réagi à notre enquête. «Aucun dommage pour la banque ou ses clients n’est à déplorer», précise-t-elle. Et de poursuivre: «Le phénomène est connu. Il s’agit d’identifiants, permettant l’accès à des sites externes, qui correspondent à des adresses électroniques de collaborateurs de la BCGE. Ce sont ces sites externes qui ont été piratés.»

En Suisse alémanique, la situation est quasi comparable. À la Banque Cantonale de Zurich (BCZ), qui compte plus de 5000 collaborateurs, environ 700 banquiers sont concernés par le piratage de leurs adresses e-mail professionnelles.

Interrogée, la BCZ affirme que la cybersécurité est une priorité absolue. «Le sujet décrit est bien connu et constamment suivi par des experts internes», affirme-t-elle. La banque n’a pas voulu commenter en détail la liste des employés concernés. Tout comme la BCV, elle précise que «le nombre de comptes e-mail n’est pas un instantané, mais correspond à une vue agrégée sur une longue période de temps». Environ la moitié des employés possédant les comptes qui apparaissent dans les fuites de données ne travaillent plus pour la BCZ. La banque n’a pas voulu révéler de qui il s’agit.

Il est intéressant de noter que ni la taille du canton ni son caractère urbain ne semblent déterminants pour les proportions de banquiers touchés. À Bâle-Ville, par exemple, ce chiffre est cinq fois inférieur à celui de Genève. La Banque Cantonale d’Uri n’enregistre pas un seul employé touché, alors qu’on en trouve dix à Appenzell et 52 à Zoug.

Le business cybercriminel

Les employés qui utilisent leur e-mail professionnel à des fins privées exposent leur employeur et leurs clients à de grands risques. «Comme Google et Facebook, les cybercriminels ont depuis longtemps découvert la valeur des grandes quantités de données», estime Thorsten Urbanski, de l’entreprise de sécurité informatique ESET. Ils recueillent des données auprès des utilisateurs afin de leur transmettre des messages ciblés. Facebook et Google le font avec des messages publicitaires en toute légalité, les cybercriminels le font avec des codes informatiques malveillants ou de fausses déclarations visant à piller les comptes des clients des banques en ligne.

Pour le premier semestre 2018, le centre fédéral de cybersécurité Melani déclare que «davantage d’appels frauduleux ont été faits à des entreprises par des agresseurs se faisant passer pour des employés de banque. Les appelants demandent que des paiements soient effectués ou prétendent devoir mettre à jour l’e-banking du client.» (TDG)